EN ESTA PÁGINA

Comprensión de los niveles de privilegio de acceso Junos OS
Ejemplo Configuración de permisos de usuario con niveles de privilegio de acceso
Expresiones regulares para permitir y denegar Junos OS comandos del modo de funcionamiento, instrucciones de configuración y jerarquías
Ejemplos de cómo definir privilegios de acceso mediante las instrucciones allow-Configuration y deny-Configuration
Ejemplo Uso de lógica de aditivo con expresiones regulares para especificar privilegios de acceso
Ejemplo Configuración de permisos de usuario con privilegios de acceso para comandos de modo de funcionamiento
Ejemplo Configuración de permisos de usuario con privilegios de acceso para instrucciones de configuración y jerarquías

Privilegios de acceso de usuario de Junos OS

Junos OS le permite conceder el acceso o permisos a los niveles e instrucciones de jerarquía de comandos y configuración. Esto permite a los usuarios ejecutar únicamente esos comandos, así como configurar y ver únicamente aquellas instrucciones para las que tienen privilegios de acceso. Puede utilizar expresiones regulares extendidas para especificar qué comandos del modo de funcionamiento, instrucciones de configuración y jerarquías se permiten a los usuarios. Esto impide que los usuarios no autorizados ejecuten o configuren comandos y instrucciones confidenciales que podrían ocasionar daños en la red. Lea este tema para obtener más información.

Comprensión de los niveles de privilegio de acceso Junos OS

Cada comando de nivel superior de la CLI y cada estado de la configuración tienen un nivel de privilegio de acceso asociado. Los usuarios sólo pueden ejecutar esos comandos, así como configurar y ver únicamente aquellos extractos para los que tengan privilegios de acceso. Los privilegios de acceso de cada clase de inicio de sesión se definen mediante una o varias marcas de permiso.

Para cada clase de inicio de sesión, puede denegar o permitir explícitamente el uso de comandos de modo operativo y de configuración que, de lo contrario, estaría permitido o permissions no por un nivel de privilegios especificado en la instrucción.

Las secciones siguientes proporcionan información adicional acerca de los permisos:

Indicadores de permiso de clase de inicio de sesión Junos OS
Permitir o denegar comandos individuales para Junos OS clases de inicio de sesión

Indicadores de permiso de clase de inicio de sesión Junos OS

Nota:

Cada comando mostrado representa ese comando y todos los subcomandos que tienen ese comando como un prefijo. Cada instrucción de configuración mostrada representa la parte superior de la jerarquía de configuración a la que este marcador concede acceso.

La permissions instrucción especifica uno o más de los indicadores de permiso enumerados en Tabla 1. Los indicadores de permisos no son acumulativos, por lo que para cada clase se deben enumerar todos view los indicadores de permisos configure necesarios, lo que incluye Mostrar información y entrar en el modo de configuración. Existen dos formas de controlar los permisos para las partes individuales de la configuración:

Formato "sin formato": proporciona capacidad de solo lectura para ese tipo de permiso. Un ejemplo interface.
Formulario que termina -control en: proporciona capacidad de lectura y lectura para ese tipo de permiso. Un ejemplo interface-control.

En el caso de marcadores de permisos que conceden acceso a los niveles de jerarquías de configuración y a las instrucciones, los indicadores conceden privilegios de solo lectura para esa configuración. Por ejemplo, el interface indicador de permisos concede acceso de sólo lectura al [edit interfaces] nivel de la jerarquía. La -control forma del indicador concede acceso de lectura y escritura a esa configuración. Con el ejemplo anterior, interface-control se concede acceso de lectura y escritura [edit interfaces] al nivel jerárquico.

Tabla 1enumera los indicadores de permiso de clase Junos OS inicio de sesión que puede configurar permissions incluyendo la instrucción [edit system login class class-name] en el nivel jerárquico.

Los indicadores de permisos conceden un conjunto específico de privilegios de acceso. Cada marca de permiso se muestra con los comandos del modo operativo y los niveles y las instrucciones de jerarquías de configuración a los que dicho indicador concede acceso.

Tabla 1: Indicadores de permiso de clase de inicio de sesión
Marca de permiso	Descriptiva
al	Puede ver la configuración de acceso en el modo de configuración `show configuration` y con el comando del modo operativo.
Access-Control	Puede ver y configurar la información de acceso `[edit access]` en el nivel de jerarquía.
administrativa\Archivo	Puede ver la información de la cuenta de usuario en el `show configuration` modo de configuración y con el comando modo de funcionamiento.
admin-control	Puede ver la información de las cuentas de usuario y `[edit system]` configurarla en el nivel de jerarquía.
All-control	Puede ver las cuentas de usuario y configurarlas en el nivel de `[edit system login]` jerarquía.
`all`	Puede tener acceso a todos los comandos del modo operativo y a los comandos del modo de configuración. Puede modificar la configuración en todos los niveles de jerarquías de configuración.
Quite	Puede borrar (eliminar) la información aprendida de la red almacenada en varias bases de datos de red mediante los `clear` comandos.
configurar	Puede entrar en el modo de configuración `configure` con el comando.
control	Puede realizar todas las operaciones a nivel de control: todas las operaciones configuradas con los indicadores `-control` de permiso.
campo	Permite ver comandos de depuración de campo. Reservado para la compatibilidad con depuración.
servidor	Puede ver la configuración de filtro de Firewall en el modo de configuración.
Firewall-control	Permite ver y configurar la información de filtros del `[edit firewall]` cortafuegos en el nivel de jerarquía.
disquete	Puede leer y escribir en los medios extraíbles.
flujo-puntear	Permite ver la configuración de punteo de flujo en el modo de configuración.
control de pulsación de flujo	Permite ver la configuración de punteo de flujo en el modo de configuración y puede configurar la información de `[edit services flow-tap]` configuración de punteo de flujo en el nivel de jerarquía.
operación de pulsación de flujo	Puede realizar solicitudes de punteo de flujo en el enrutador o conmutador. Por ejemplo, un cliente de protocolo dinámico de control de tareas (DTCP) `flow-tap-operation` debe tener permiso para autenticarse a sí mismo en el Junos os como un usuario administrativo. Nota: La `flow-tap-operation` opción no está incluida en la `all-control` marca de permisos.
IDP-generador de perfiles-operación	Puede ver los datos del generador de perfiles.
interfaz	Puede ver la configuración de la interfaz en el modo de `show configuration` configuración y con el comando modo de operación.
Interface-control	Puede ver la información de configuración de chasis, clase de servicio (COS), grupos, opciones de reenvío e interfaces. Puede editar la configuración en los siguientes niveles de jerarquía: `[edit chassis]` `[edit class-of-service]` `[edit groups]` `[edit forwarding-options]` `[edit interfaces]`
mantenimiento	Puede realizar el mantenimiento del sistema, lo que incluye iniciar un shell local en el enrutador o conmutador y convertirse en el `su root` superusuario en el shell mediante el comando, y puede detener y reiniciar el `request system` enrutador o conmutador utilizando los comandos.
subred	Puede acceder a la red con los `ping`comandos `ssh`, `telnet`, y `traceroute` .
PGCP: reflejo de sesión	Puede ver la `pgcp` configuración del reflejo de sesión.
PGCP-control de reflejo de la sesión	Puede modificar la `pgcp` configuración del reflejo de sesión.
onreset	Puede reiniciar los procesos de software mediante `restart` el comando y puede configurar si los procesos de software están habilitados `[edit system processes]` o deshabilitados en el nivel de jerarquía.
vertir	Puede usar el `rollback` comando para volver a una configuración previamente confirmada que no sea la última que se confirmó.
distribuye	Permite ver la información de configuración general de enrutamiento, protocolo de enrutamiento y directivas de enrutamiento en los modos de configuración y funcionamiento.
enrutamiento y control de	Puede ver la información de configuración general de enrutamiento, protocolo de enrutamiento y directivas de enrutamiento, y puede `[edit routing-options]` configurar el enrutamiento general a nivel de `[edit protocols]` jerarquía, los protocolos de enrutamiento en el `[edit policy-options]` nivel de jerarquía y las directivas de enrutamiento en el nivel de jerarquía.
graba	Puede ver contraseñas y otras claves de autenticación en la configuración.
control de secretos	Puede ver contraseñas y otras claves de autenticación en la configuración y puede modificarlas en modo de configuración.
protección	Puede ver la configuración de seguridad en el modo de `show configuration` configuración y con el comando modo de funcionamiento.
control de seguridad	Puede ver y configurar la información de seguridad `[edit security]` en el nivel de jerarquía.
caparazón	Puede iniciar un shell local en el enrutador o conmutador mediante `start shell` el comando.
SNMP	Permite ver la información de configuración del Protocolo simple de administración de red (SNMP) en los modos de configuración y funcionamiento.
control SNMP	Puede ver la información de configuración SNMP y puede modificar la configuración `[edit snmp]` SNMP en el nivel jerárquico.
del	Puede ver la información de nivel de sistema en los modos de configuración y funcionamiento.
control del sistema	Puede ver la información de configuración de nivel del sistema y configurarla en el nivel de `[edit system]` jerarquía.
rastre	Permite ver la configuración del archivo de seguimiento y configurar las propiedades del archivo de seguimiento.
Trace-control	Puede modificar la configuración del archivo de seguimiento y configurar las propiedades del archivo de seguimiento.
vista	Puede utilizar varios comandos para mostrar los valores y estadísticas específicos del sistema y de la tabla de enrutamiento, y de los protocolos. No se puede ver la configuración secreta.
vista-configuración	Permite ver toda la configuración con exclusión de secretos, scripts del sistema y opciones de evento. Nota: Solo los usuarios con `maintenance` permiso pueden ver la secuencia de comandos de ejecución, la secuencia de comandos OP o la configuración de script de eventos.

Permitir o denegar comandos individuales para Junos OS clases de inicio de sesión

De forma predeterminada, todos los comandos de nivel superior de la CLI tienen los niveles de privilegio de acceso asociados. Los usuarios sólo pueden ejecutar esos comandos y ver únicamente aquellos extractos para los que tengan privilegios de acceso. Para cada clase de inicio de sesión, puede denegar o permitir explícitamente el uso de comandos de modo operativo y de configuración que, de lo contrario, estaría permitido o permissions no por un nivel de privilegios especificado en la instrucción.

Los indicadores de permiso se utilizan para conceder a un usuario acceso a los comandos del modo de funcionamiento y los niveles e instrucciones de jerarquías de configuración. Al especificar una marca de permiso específica en la clase login del usuario en el [edit system login class] nivel de la jerarquía, puede conceder al usuario acceso a los comandos y los niveles de jerarquía de configuración e instrucciones correspondientes. Para conceder acceso a todos los comandos y a las instrucciones all de configuración, utilice la marca de permisos. En el caso de marcadores de permisos que conceden acceso a los niveles de jerarquías de configuración y a las instrucciones, los indicadores conceden privilegios de solo lectura para esa configuración. Por ejemplo, el interface indicador de permisos concede acceso de sólo lectura al [edit interfaces] nivel de la jerarquía. La -control forma del indicador concede acceso de lectura y escritura a esa configuración. Con el ejemplo anterior, interface-control se concede acceso de lectura y escritura [edit interfaces] al nivel jerárquico.

Los all bits de permiso de clase login tienen prioridad sobre las expresiones regulares extensas rollback cuando un rollback usuario emite un comando con la marca de permiso habilitada.
Las expresiones utilizadas para permitir o denegar comandos a usuarios de RADIUS y a los servidores TACACS + se han simplificado. En lugar de una sola expresión de tipo Long con varios comandosallow-commands=cmd1 cmd2 ... cmdn(), puede especificar cada comando como una expresión independiente. Esta nueva sintaxis es válida para allow-configuration, deny-configuration, allow-commandsdeny-commands, y para todos los bits de permiso de usuario.
Los usuarios no pueden load override ejecutar el comando cuando especifican una expresión regular extendida. Los usuarios solo pueden emitir mergelos replacecomandos, patch y Configuration.
Si permite y deniega los mismos comandos, los allow-commands permisos prevalecerán sobre los permisos especificados por deny-commandsel. Por ejemplo, si incluye allow-commands "request system software add" y deny-commands "request system software add", la clase login User puede instalar software por medio del request system software add comando.
Las expresiones regulares allow-commands de deny-commands y también pueden incluir commitlos loadcomandos rollback, save, status,, update y.
Si se especifica una expresión regular para allow-commands y deny-commands con dos variantes distintas de un comando, siempre se ejecutará la coincidencia más larga.

Por allow-commands ejemplo, si especifica una expresión regular para con el commit-synchronize comando y una expresión regular para deny-commands con el commit comando, los usuarios asignados a dicha clase de inicio de sesión podrán ejecutar el commit synchronize comando, pero no el commit comando. Esto se debe commit-synchronize a que es la coincidencia más commit larga commit-synchronize entre y y se especifica allow-commandspara.

Del mismo modo, si especifica una expresión regular allow-commands para con commit el comando y una expresión regular deny-commands para con commit-synchronize el comando, los usuarios asignados a dicha clase de inicio de sesión podrán commit ejecutar el comando, pero commit-synchronize no el comando. Esto se debe commit-synchronize a que es la coincidencia más commit larga commit-synchronize entre y y se especifica deny-commandspara.

Ejemplo Configuración de permisos de usuario con niveles de privilegio de acceso

En este ejemplo se muestra cómo ver los permisos de una cuenta de usuario y configurar los permisos de usuario con privilegios de acceso para una clase de inicio de sesión. Esto permite a los usuarios ejecutar únicamente esos comandos, así como configurar y ver únicamente aquellas instrucciones para las que tienen privilegios de acceso. Esto impide que los usuarios no autorizados ejecuten o configuren comandos y instrucciones confidenciales que podrían ocasionar daños en la red.

Aplicables
Descripción general
Automática
Comproba

Aplicables

En este ejemplo se utilizan los siguientes componentes de hardware y software:

Un dispositivo Juniper Networks
Un servidor TACACS + (o RADIUS)
Compilación Junos OS que se ejecuta en el dispositivo Juniper Networks

Antes de empezar:

Establezca una conexión entre el dispositivo y el servidor TACACS +.

Para obtener información sobre la configuración de un servidor TACACS +, consulte Configuring TACACS + Authentication.
Configure al menos un usuario asignado a una clase de inicio de sesión en el dispositivo de Juniper Networks. Puede haber más de una clase de inicio de sesión, cada una con configuraciones de permisos variables y más de un usuario en el dispositivo.

Descripción general

Cada comando de la interfaz de línea de comandos (CLI) de nivel superior y cada instrucción de configuración de Junos OS tiene asociado un nivel de privilegio de acceso. Para cada clase de inicio de sesión, puede denegar o permitir explícitamente el uso de comandos de modo operativo y de configuración que, de lo contrario, estaría permitido o no en un nivel de privilegios. Los usuarios sólo pueden ejecutar esos comandos, así como configurar y ver únicamente aquellos extractos para los que tengan privilegios de acceso. Para configurar los niveles de privilegios de acceso permissions , incluya la [edit system login class class-name] instrucción en el nivel jerárquico.

Los privilegios de acceso de cada clase de inicio de sesión se definen mediante uno o varios indicadores permissions de permiso especificados en la instrucción. Los indicadores de permisos se utilizan para conceder a un usuario acceso a los comandos del modo operativo, a las instrucciones y a las jerarquías de configuración. Los indicadores de permisos no son acumulativos, por lo que, para cada clase de inicio de sesión debe view enumerar todos los configure indicadores de permisos necesarios, incluida la visualización de información y el modo de configuración. Al especificar un indicador de permisos específico en la clase de inicio de sesión del usuario, concede al usuario acceso a los comandos, las instrucciones y las jerarquías de configuración correspondientes. Para conceder acceso a todos los comandos y a las instrucciones all de configuración, utilice la marca de permisos. Las marcas de permiso proporcionan un formato de solo lectura ("sin formato") y la capacidad de lectura y escribir (formulario que termina en -control) para un tipo de permiso.

Nota:

Los all bits de permiso de clase login tienen prioridad sobre las expresiones regulares extensas cuando un usuario emite un comando ROLLBACK con la marca de permiso rollback habilitada.

Para configurar los niveles de privilegios de acceso de usuario:

Ver los permisos de una cuenta de usuario.

Puede ver los permisos de una cuenta de usuario antes de configurar los privilegios de acceso para esos permisos.

Para ver los permisos de usuario, ? escriba en [edit] el nivel de jerarquía:
Configure los permisos de usuario con privilegios de acceso.

Todos los usuarios que pueden iniciar sesión en un dispositivo deben estar en una clase login. Para cada clase de inicio de sesión puede configurar los privilegios de acceso que los usuarios asociados pueden tener cuando inician sesión en el dispositivo.

Para configurar niveles de privilegios de acceso para los permisos de permissions usuario, incluya [edit system login class class-name] la instrucción en el nivel de la jerarquía, seguida permissions del permiso del usuario, la opción y los indicadores de permiso necesarios.

Automática

Configuración de permisos de usuario con niveles de privilegio de acceso
Resultados

Configuración de permisos de usuario con niveles de privilegio de acceso

Procedimiento paso a paso

Para configurar privilegios de acceso:

Desde el dispositivo, vea la lista de permisos disponibles para la cuenta de usuario. En este ejemplo, el nombre de usuario de la cuenta es host.

El resultado enumera los permisos del host de usuario. Las clases de inicio de sesión personalizadas se pueden crear configurando distintos privilegios de acceso según estos permisos de usuario.

Configure una clase de privilegio de acceso para permitir a host de usuario que configure y visualice solamente parámetros SNMP. En este ejemplo, esta clase de inicio de sesión se denomina administración de red. Para personalizar la clase de inicio de sesión de administración de red, incluya las marcas configure de permiso SNMP en el permiso de usuario.
Aquí, los indicadores de permisos configurados proporcionan capacidad de lectura (SNMP) y lectura y escritura (control de SNMP) para SNMP, y éste es el único privilegio de acceso permitido para la clase de inicio de sesión de administración de red. Es decir, se deniegan todos los demás privilegios de acceso que no sean la configuración y visualización de los parámetros SNMP.

Resultados

Desde el modo de configuración, escriba el show system login comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Comproba

Inicie sesión como el nombre de usuario asignado con la nueva clase de inicio de sesión y confirme que la configuración funciona correctamente.

Verificación de la configuración de SNMP
Comprobando configuración no SNMP

Purpose

Compruebe que la configuración SNMP se puede ejecutar.

Intervención

Desde el modo de configuración, ejecute comandos SNMP básicos [edit snmp] en el nivel de jerarquía.

Efectos

Es posible que el host de usuario asignado a la clase de inicio de sesión de administración de red configure los parámetros SNMP, ya que los indicadores de permisos especificados para esta clase incluyen tanto los bits de permisos SNMP (capacidades de lectura) como los de control SNMP (capacidades de lectura y escritura).

Comprobando configuración no SNMP

Purpose
Intervención

Purpose

Compruebe que se denegó la configuración no SNMP para la clase de inicio de sesión de administración de red.

Intervención

Desde el modo de configuración, ejecute cualquier configuración que no sea de SNMP, por ejemplo, la configuración de las interfaces.

Expresiones regulares para permitir y denegar Junos OS comandos del modo de funcionamiento, instrucciones de configuración y jerarquías

Este tema contiene las siguientes secciones:

Descripción de las expresiones regulares
Especificar expresiones regulares
Operadores de expresiones regulares
Ejemplos de expresiones regulares

Descripción de las expresiones regulares

Puede utilizar expresiones regulares extendidas para especificar qué comandos del modo operativo, instrucciones de configuración y jerarquías se permiten. Estas expresiones regulares se especifican localmente en el nivel de jerarquía , y y en las instrucciones, o de forma remota, especificando Juniper Networks atributos allow/deny-commandsallow/deny-configuration,allow/deny-commands-regexpsallow/deny-configuration-regexp TACACS+ o RADIUS específicos del proveedor en la configuración del servidor de [edit system login class class-name] autorización.

Nota:

A partir de Junos OS versión 18,1, allow-commands-regexps las deny-commands-regexps instrucciones y son compatibles con la autorización TACACS +.

La diferencia entre una configuración de autorización local y remota es el modelo en el que se ejecutan las instrucciones de expresiones regulares. Aunque es posible especificar varias expresiones regulares utilizando cadenas en la configuración de autorización local, en una configuración remota, las instrucciones de expresiones regulares deben dividirse y especificarse en cadenas individuales. Cuando los parámetros de autorización se configuran de forma remota y local, las expresiones regulares recibidas durante la autorización de TACACS + o de RADIUS se combinan con cualquier expresión regular disponible en el dispositivo local.

Cuando se especifican varias expresiones regulares en una configuración local mediante allow-configurationlas deny-configurationinstrucciones allow-commands,, deny-commands o, las expresiones regulares se configuran entre paréntesis y se separan con el símbolo de la barra vertical (Pipe). La expresión completa se incluye entre comillas dobles. Por ejemplo, puede especificar varios allow-commands parámetros con la siguiente sintaxis:

La misma expresión configurada de forma remota en el servidor de autorización utiliza la sintaxis siguiente:

Cuando se especifican varias expresiones regulares en una configuración local mediante allow-configuration-regexpslas deny-configuration-regexpsinstrucciones allow-commands-regexps,, deny-commands-regexps o, las expresiones regulares se configuran entre comillas dobles y se separan mediante el operador de espacio. La expresión completa se encierra entre corchetes. Por ejemplo, puede especificar varios parámetros allow-Commands con la siguiente sintaxis:

La misma expresión configurada de forma remota en el servidor de autorización utiliza la sintaxis siguiente:

Tabla 2diferencia la configuración de autorización local y remota mediante expresiones regulares.

Tabla 2: Configuración de autorización local y remota de ejemplo mediante expresiones regulares
Configuración local	Configuración remota
login { class local { permissions configure; allow-commands "(ping .)\|(traceroute .)\|(show .)\|(configure .)\|(edit)\|(exit)\|(commit)\|(rollback .)"; deny-commands .; allow-configuration "(interfaces .* unit 0 family ethernet-switching vlan mem.* .)\|(interfaces . native.* .)\|(interfaces . unit 0 family ethernet-switching interface-mo.* .)\|(interfaces . unit .)\|(interfaces . disable)\|(interfaces .* description .)\|(vlans . vlan-.* .)" deny-configuration .; } }	user = remote { login = username service = junos-exec { allow-commands1 = "ping ." allow-commands2 = "traceroute ." allow-commands3 = "show ." allow-commands4 = "configure" allow-commands5 = "edit" allow-commands6 = "exit" allow-commands7 = "commit" `allow-commands8 = ".xml-mode"` <<<<< `allow-commands9 = ".netconf"` <<<<< `allow-commands10 = ".need-trailer"` <<<<< allow-commands11 = "rollback." deny-commands1 = "." allow-configuration1 = "interfaces .* unit 0 family ethernet-switching vlan mem.* ." allow-configuration2 = "interfaces . native.* ." allow-configuration3 = "interfaces . unit 0 family ethernet-switching interface-mo.* ." allow-configuration4 = "interfaces . unit ." allow-configuration5 = "interfaces . disable" allow-configuration6 = "interfaces .* description ." allow-configuration7 = "interfaces ." allow-configuration8 = "vlans .* vlan-.* ." deny-configuration1 = "." local-user-name = `local-username` user-permissions = "configure" } }

Tabla 2: Configuración de autorización local y remota de ejemplo mediante expresiones regulares

Configuración local

Configuración remota

login {
    class local {
        permissions configure;
        allow-commands "(ping .*)|(traceroute .*)|(show .*)|(configure .*)|(edit)|(exit)|(commit)|(rollback .*)";
        deny-commands .*;
        allow-configuration "(interfaces .* unit 0 family ethernet-switching vlan mem.* .*)|(interfaces .* native.* .*)|(interfaces .* unit 0 family ethernet-switching interface-mo.* .*)|(interfaces .* unit .*)|(interfaces .* disable)|(interfaces .* description .*)|(vlans .* vlan-.* .*)"
        deny-configuration .*;
    }
}

user = remote {
    login = username
    service = junos-exec {
        allow-commands1 = "ping .*"
        allow-commands2 = "traceroute .*"
        allow-commands3 = "show .*"
        allow-commands4 = "configure"
        allow-commands5 = "edit"
        allow-commands6 = "exit"
        allow-commands7 = "commit"
        allow-commands8 = ".*xml-mode" <<<<<
        allow-commands9 = ".*netconf" <<<<<
        allow-commands10 = ".*need-trailer" <<<<<
        allow-commands11 = "rollback.*"
        deny-commands1 = ".*"
        allow-configuration1 = "interfaces .* unit 0 family ethernet-switching vlan mem.* .*"
        allow-configuration2 = "interfaces .* native.* .*"
        allow-configuration3 = "interfaces .* unit 0 family ethernet-switching interface-mo.* .*"
        allow-configuration4 = "interfaces .* unit .*"
        allow-configuration5 = "interfaces .* disable"
        allow-configuration6 = "interfaces .* description .*"
        allow-configuration7 = "interfaces .*"
        allow-configuration8 = "vlans .* vlan-.* .*"
        deny-configuration1 = ".*"
        local-user-name = local-username
        user-permissions = "configure"
    }
}

Nota:

Es necesario permitir explícitamente el acceso al modo NETCONF, ya sea localmente o de forma remota, mediante la emisión de los tres comandos siguientes: xml-mode, netconf, y need-trailer.
Cuando se deny-configuration = “.*” utiliza la instrucción, debe permitirse el uso de la allow-configuration instrucción con todas las demás configuraciones deseadas. Esto puede afectar al límite del búfer de expresiones regulares permitidas para la allow-configuration instrucción. Cuando este límite supera, es posible que la configuración permitida no funcione. Este límite de tamaño de búfer de expresión regular se ha aumentado en Junos OS Release 14,1 x53-D40, 15,1 y 16,1.

Especificar expresiones regulares

Aviso:

Al especificar una expresión regular para comandos e instrucciones de configuración, preste atención a los ejemplos siguientes, ya que una expresión regular con sintaxis no válida podría no producir los resultados deseados, incluso si la configuración se confirma sin ninguna error.

Las expresiones regulares para comandos y instrucciones de configuración deben especificarse del mismo modo que la ejecución de todo el comando o instrucción. Tabla 3 enumera las expresiones regulares para configurar privilegios de acceso para [edit interfaces] las [edit vlans] jerarquías de instrucciones y y para delete interfaces el comando.

Tabla 3: Especificar expresiones regulares
Afirmación	Expresión regular	Notas de configuración
`[edit interfaces]` El `set` comando para interfaces se ejecuta de la siguiente manera: [edit] user@host# `set interfaces interface-name unit interface-unit-number`	La `set interfaces` instrucción está incompleta por sí sola, y `unit` requiere la opción para ejecutar la instrucción. Como resultado, la expresión regular necesaria para denegar la `set interfaces` configuración debe especificar toda la cadena ejecutable con el `.` operador en lugar de las variables de instrucción: [edit system login class `class-name`] user@host# `set permissions configure` user@host# `set deny-configuration "interfaces . unit .*"`	El `.` operador denota todo, desde el punto especificado hacia delante de ese comando o instrucción concretos. En este ejemplo, indica cualquier nombre de interfaz con cualquier valor de unidad. Especificar solo la `deny-configuration "interfaces ."` instrucción no es correcto y no deniega el acceso a la configuración de las interfaces para la clase de inicio de sesión especificada. En la expresión regular se pueden incluir otras opciones válidas, por ejemplo: [edit system login class `class-name`] user@host# `set permissions configure` user@host# `set deny-configuration "interfaces .* description ."` [edit system login class `class-name`] user@host# `set permissions configure` user@host# `set allow-configuration-regexps [ "interfaces . description .” “interfaces . unit .* description .” “interfaces . unit .* family inet address .” “interfaces. disable" ]` [edit system login class `class-name`] user@host# `set permissions configure` user@host# `set allow-configuration "interfaces .* unit 0 family ethernet-switching vlan mem.* ."` `Note:` La expresión regular de este ejemplo se usa cuando se espera que varias cadenas a partir de la palabra clave `mem.mem` se incluyan en la expresión regular especificada. Cuando se espera `member` incluir una sola cadena, se utiliza la `member .*` expresión regular.
`delete interfaces` El `delete` comando para interfaces se ejecuta de la siguiente manera: [edit] user@host# `delete interfaces interface-name`	La `delete interfaces` instrucción puede ejecutarse por sí misma y no requiere que se completen instrucciones adicionales. Como resultado, la expresión regular que se requiere para denegar `delete interfaces` la instrucción debe especificar lo siguiente: [edit system login class `class-name`] user@host# `set permissions configure` user@host# `set allow-configuration "interfaces ."` user@host# `set deny-configuration "interfaces ."`	El `.` operador denota todo, desde el punto especificado hacia delante de ese comando o instrucción concretos. En este ejemplo, indica cualquier nombre de interfaz. Para que `deny-configuration "interfaces ."` la expresión regular surta efecto, la clase de inicio de sesión especificada debe permitir permisos de configuración para la `allow-configuration "interfaces .*"` jerarquía de interfaces utilizando la expresión regular.
`[edit vlans]` El `set` comando para redes VLAN se ejecuta de la siguiente manera: [edit] user@host# `set vlans vlan-name vlan-id vlan-id`	Aquí, la `set vlans` instrucción está incompleta por sí sola, y `vlan-id` requiere la opción para ejecutar la instrucción. Como resultado, la expresión regular necesaria para permitir la `set vlans` configuración debe especificar toda la cadena ejecutable con el `.` operador en lugar de las variables de instrucción: [edit system login class `class-name`] user@host# `set permissions configure` user@host# `set allow-configuration "vlans . vlan-id .*"`	El `.` operador denota todo, desde el punto especificado hacia delante de ese comando o instrucción concretos. En este ejemplo, indica cualquier nombre de VLAN con cualquier ID de VLAN. En la expresión regular se `[edit vlans]` pueden incluir otras opciones válidas en la jerarquía de instrucciones, por ejemplo: [edit system login class `class-name`] user@host# `set permissions configure` user@host# `set allow-configuration-regexps [ "vlans . vlan-id ." "vlans . vlan-id .* description ." "vlans . vlan-id .* filter .*" ]`

Operadores de expresiones regulares

Tabla 4enumera los operadores de expresiones regulares comunes que puede utilizar para permitir o denegar los modos operativos y de configuración.

Las expresiones regulares de comando implementan las expresiones regulares extendidas (modernas), tal y como se definen en POSIX 1003,2.

Tabla 4: Operadores de expresiones regulares comunes
Armador	Coincidencia	Ejemplo
\|	Uno de dos o más términos separados por la canalización. Cada término debe ser una expresión independiente completa encerrada entre paréntesis (), sin espacios entre la canalización y los paréntesis adyacentes.	[edit system login class `test`] user@host# `set permissions configure` user@host# `set allow-commands "(ping)\|(traceroute)\|(show system alarms)\|(show system software)"` user@host# `set deny-configuration "(access)\|(access-profile)\|(accounting-options)\|(applications)\|(apply-groups)\| (bridge-domains)\|(chassis)\|(class-of-service)"` Con la configuración anterior, los usuarios asignados a la clase de inicio de sesión de prueba tienen acceso de modo operativo restringido `allow-commands` únicamente a los comandos especificados en la instrucción, y acceso al modo de configuración `deny-configuration` , excluyendo los niveles de jerarquía especificados en la instrucción.
^	Al principio de una expresión, que se utiliza para denotar dónde comienza el comando, donde puede haber alguna ambigüedad.	[edit system login class `test`] user@host# `set permissions interface` user@host# `set permissions interface-control` user@host# `set allow-commands "(^show) (log\|interfaces\|policer))\|(^monitor)"` Con la configuración anterior, los usuarios asignados a la clase de inicio de sesión de prueba tienen acceso a la configuración y visualización de la configuración de interfaz desde el modo operativo y el de configuración. La `allow-commands` instrucción especifica el acceso a comandos que comienzan `show` por `monitor` palabras clave. Para el primer filtro, los comandos especificados incluyen `show log`los `show interfaces`comandos, `show policer` y. El segundo filtro especifica todos los comandos a partir `monitor` de la palabra clave `monitor interfaces` , `monitor traffic` como o comandos.
$	Al final de un comando. Se utiliza para denotar un comando con el que se debe hacer coincidir exactamente hasta ese punto.	[edit system login class `test`] user@host# `set permissions interface` user@host# `set allow-commands "(show interfaces$)"` Con la configuración anterior, los usuarios asignados a la clase de inicio de sesión de prueba pueden ver la configuración de interfaz en `show configuration` el modo de configuración y con el comando del modo operativo con el permiso de usuario de interfaz. Sin embargo, la expresión regular especificada en `allow-commands` la instrucción restringe a los usuarios para que `show interfaces` solo ejecuten el comando y deniega el acceso a las `show interfaces detail` extensiones `show interfaces extensive`de comando, como o.
[ ]	Rango de letras o dígitos. Para separar el principio y el final de un rango, utilice un guión ( - ).	[edit system login class `test`] user@host# `set permissions clear` user@host# `set permissions configure` user@host# `set permissions network` user@host# `set permissions trace` user@host# `set permissions view` user@host# `set allow-configuration-regexps [ "interfaces [gx]e-.* unit [0-9]* description .*" ]` Con la configuración anterior, los usuarios asignados a la clase de inicio de sesión de prueba tienen permisos de usuario a nivel de operador, y tienen acceso para configurar interfaces dentro del intervalo especificado de nombre de interfaz y número de unidad (de 0 a 9).
( )	Grupo de comandos que indica una expresión completa y independiente que se va a evaluar. A continuación, el resultado se evalúa como parte de la expresión general. Deben utilizarse paréntesis junto con los operadores de canalización, tal y como se explica.	[edit system login class `test`] user@host# `set permissions all` user@host# `set allow-commands "(clear)\|(configure)"` user@host# `deny-commands "(mtrace)\|(start)\|(delete)"` Con la configuración anterior, los usuarios asignados a la clase de inicio de sesión de prueba tienen permisos de superusuario y tienen acceso a `allow-commands` los comandos especificados en la instrucción.
*	Cero o más términos.	[edit system login class `test`] user@host# `set permissions configure` user@host# `set deny-configuration "(system login class m*)"` Con la configuración anterior, los usuarios asignados a la clase de inicio de sesión de `m` prueba a cuyo nombre de inicio de sesión comienza con se les deniega el acceso de configuración.
+	Uno o varios términos.	[edit system login class `test`] user@host# `set permissions configure` user@host# `set deny-configuration "(system login class m+)"` Con la configuración anterior, los usuarios asignados a la clase de inicio de sesión de `m` prueba a cuyo nombre de inicio de sesión comienza con se les deniega el acceso de configuración.
.	Cualquier carácter excepto un espacio "".	[edit system login class `test`] user@host# `set permissions configure` user@host# `set deny-configuration "(system login class m.)"` Con la configuración anterior, los usuarios asignados a la clase de inicio de sesión de `m` prueba a cuyo nombre de inicio de sesión comienza con se les deniega el acceso de configuración.
.*	Todo lo que haya desde el punto especificado hacia adelante.	[edit system login class `test`] user@host# `set permissions configure` user@host# `set deny-configuration "(system login class m .)"` Con la configuración anterior, los usuarios asignados a la clase de inicio de sesión de `m` prueba a cuyo nombre de inicio de sesión comienza con se les deniega el acceso de configuración. De forma similar `deny-configuration "protocols ."` , la instrucción rechaza todo el acceso a `[edit protocols]` la configuración bajo el nivel jerárquico. Nota: Las ``operaciones `+`, y `.` se pueden lograr mediante el uso `.`de. Las `deny-commands .` instrucciones `deny-configuration .` and deniegan el acceso a todos los comandos de modo operativo y las jerarquías de configuración, respectivamente.

Nota:

Junos OS no admite el operador ! de expresiones regulares.

Ejemplos de expresiones regulares

Tabla 5 enumera las expresiones regulares utilizadas para permitir opciones de configuración en dos jerarquías de configuración; y — como un ejemplo para [edit system ntp server][edit protocols rip] especificar expresiones regulares.

Nota:

Tabla 5no proporciona una lista completa de todas las expresiones regulares y palabras clave de todas las instrucciones y jerarquías de configuración. Las expresiones regulares enumeradas en la tabla se admiten en Junos OS versión 16,1, y solo se validan [edit system ntp server] para [edit protocols rip] las jerarquías de instrucciones y.

Tabla 5: Ejemplos de expresiones regulares
Jerarquía de instrucciones	Expresiones regulares	Configuración permitida	Configuración denegada
`[edit system ntp server]`
número `de clave`	[edit system login class test] set permissions configure set allow-configuration-regexps [ "system ntp server ." "system ntp server . key ." ] set deny-configuration-regexps [ "system ntp server . version ." "system ntp server . prefer" ]	IP del servidor IP y clave del servidor	versi desee
número `de versión`	[edit system login class test] set permissions configure set allow-configuration-regexps [ "system ntp server ." "system ntp server . version ." ] set deny-configuration-regexps [ "system ntp server . key ." "system ntp server . prefer" ]	IP del servidor IP del servidor y versión	clave desee
desee	[edit system login class test] set permissions configure set allow-configuration-regexps [ "system ntp server ." "system ntp server . prefer" ]; set deny-configuration-regexps [ "system ntp server .* key ." "system ntp server . version .*" ]	IP del servidor IP de servidor y prefiera	clave versi
`[edit protocols rip]`
tamaño del `mensaje`	[edit system login class test] set permissions configure set allow-configuration-regexps "protocols rip message-size ." set deny-configuration-regexps [ "protocols rip metric-in ." "protocols rip route-timeout ." "protocols rip update-interval ." ]	tamaño del mensaje	Metric-in Ruta-tiempo límite Update-Interval
métrica en `métrica`	[edit system login class test] set permissions configure set allow-configuration-regexps "protocols rip metric-in ." set deny-configuration-regexps [ "protocols rip message-size ." "protocols rip route-timeout ." "protocols rip update-interval ." ]	Metric-in	tamaño del mensaje Ruta-tiempo límite Update-Interval
tiempo de espera de ruta `de tiempo de espera de ruta`	[edit system login class test] set permissions configure set allow-configuration-regexps "protocols rip route-timeout ." set deny-configuration-regexps [ "protocols rip metric-in ." "protocols rip message-size ." "protocols rip update-interval ." ]	Ruta-tiempo límite	tamaño del mensaje Metric-in Update-Interval
intervalo de actualización `intervalo de actualización-intervalo`	[edit system login class test] set permissions configure set allow-configuration-regexps "protocols rip update-interval ." set deny-configuration-regexps [ "protocols rip metric-in ." "protocols rip route-timeout ." "protocols rip message-size ." ]	Update-Interval	tamaño del mensaje Metric-in Ruta-tiempo límite

Ejemplos de cómo definir privilegios de acceso mediante las instrucciones allow-Configuration y deny-Configuration

Puede definir privilegios de acceso mediante una combinación de los siguientes tipos de instrucciones:

indicadores de permiso
allow-configurationy deny-configuration las instrucciones

Los indicadores de permisos definen los límites mayores de lo que puede tener acceso y controlar una persona o clase de inicio de sesión. Los allow-configurationdeny-configuration Estados de cuenta tienen prioridad sobre las marcas de permiso y proporcionan al administrador un control más preciso sobre lo que el usuario tiene acceso exactamente.

En este tema se explica cómo definir allow-configuration los deny-configuration privilegios de acceso mediante instrucciones y se muestran varios ejemplos de configuración de clases de inicio de sesión mediante estas instrucciones. Los ejemplos del 1 al 3 utilizan indicadores de deny-configuration permisos e instrucciones para crear clases de inicio de sesión que permitan a los usuarios tener acceso a todo excepto a algo. Cada allow-configuration instrucción deny-configuration or está configurada con una o más expresiones regulares que se van a permitir o denegar.

Observe que el bit de permiso y el indicador de permiso se utilizan indistintamente.

Ejemplo, 1

Para crear una clase login que permita al usuario configurar todo excepto los parámetros de Telnet:

Establezca el bit de permiso de clase de inicio de sesión del usuario en all .

Incluir la siguiente deny-configuration instrucción.

Ejemplo n° 2

Para crear una clase de inicio de sesión que permita al usuario configurar todo, excepto cualquier cosa dentro de cualquier clase de inicio de sesión cuyo nombre comience por "m":

Establezca el bit de permiso de clase de inicio de sesión del usuario en all .

Incluir la siguiente deny-configuration instrucción.

Ejemplo 3

En el siguiente ejemplo se muestra la creación de una clase login all con el bit de permiso que impide que el usuario edite un comando de configuración o commitde emisión ( [edit system login class] como [edit system services] ) en los niveles de jerarquía o:

Para crear una clase login que permita al usuario configurar todo excepto los [edit system login class] niveles de jerarquía [edit system services] or:

Establezca el bit de permiso de clase de inicio de sesión del usuario en all .

Incluir la siguiente deny-configuration instrucción.

Los dos ejemplos siguientes muestran cómo usar las allow-configuration instrucciones y deny-configuration para determinar los permisos inversos entre sí para el [edit system services] nivel jerárquico.

Ejemplo n° 4

Para crear una clase login que permita al usuario disponer de todos los privilegios de configuración [edit system services] en el nivel de la jerarquía [edit system services] y únicamente en el nivel de la jerarquía:

Establezca el bit de permiso de clase de inicio de sesión del usuario en configure .

Incluir la siguiente allow-configuration instrucción.

Ejemplo 5

Para crear una clase de inicio de sesión que permita al usuario permisos completos para todas las jerarquías [edit system services] de modo de configuración excepto el nivel de jerarquía:

Establezca el bit de permiso de clase de inicio de sesión del usuario en all .

Incluir la siguiente deny-configuration instrucción.

Ejemplo Uso de lógica de aditivo con expresiones regulares para especificar privilegios de acceso

En este ejemplo se muestra cómo usar la lógica aditiva cuando se utilizan expresiones regulares para configurar los privilegios de acceso a la configuración.

Automática

Procedimiento paso a paso

Para habilitar la lógica aditiva para expresiones regulares:

Para permitir explícitamente una o varias jerarquías de modo de configuración individuales allow-configuration-regexps , incluya la [edit system login class class-name] instrucción en el nivel de jerarquía, configurada con las expresiones regulares que se van a permitir.

Asigne la clase login a uno o varios usuarios.

Habilite la lógica de adición para las expresiones regulares.
Confirme los cambios.

Los usuarios a los que se ha asignado esta clase login tienen acceso a las allow-configuration-regexps jerarquías de configuración incluidas en la instrucción, pero ningún otro.

Aplicables
Descripción general
Cita

Aplicables

En este ejemplo se utilizan los siguientes componentes de hardware y software:

Una Juniper Networks serie J, M Series, serie MX o dispositivo serie T
Junos OS versión 16,1 o posterior
- Debe haber al menos un usuario asignado a una clase login.
- Puede haber más de una clase de inicio de sesión, cada una con configuraciones de permisos variables y más de un usuario en el dispositivo.

Descripción general

Para controlar quién puede hacer cambios en la configuración del sistema y qué puede cambiar específicamente, puede crear expresiones regulares que indiquen partes específicas de la jerarquía de la configuración a las que se permite el acceso a los usuarios de una clase de usuario con nombre. Por ejemplo, puede crear expresiones regulares que especifiquen un grupo de instancias de enrutamiento que los usuarios puedan modificar e impedir que los usuarios realicen cambios en otros casos de enrutamiento o en cualquier otro nivel de configuración.

Las expresiones regulares se configuran con las allow-configuration-regexps sentencias y deny-configuration-regexps . De forma predeterminada deny-configuration-regexps , las instrucciones tienen allow-configuration-regexps prioridad sobre las instrucciones para los usuarios en la clase de usuario con nombre a la que se aplican.

Si una jerarquía de configuración aparece en deny-configuration-regexps una instrucción para una clase de usuario con nombre, no será visible para los usuarios, independientemente del contenido de allow-configuration-regexps la instrucción. Si una jerarquía de configuración no aparece en una deny-configuration-regexps instrucción, estará visible si aparece en una allow-configuration-regexps instrucción o si no hay ninguna allow-configuration-regexps instrucción configurada para la clase de usuario..

Si lo desea, puede cambiar este comportamiento predeterminado de manera que la lógica aditiva (es decir, denegar todo de forma predeterminada/permitir algunas según lo especificado) se utilice en expresiones regulares. Cuando está habilitada la lógica aditiva, cambia el comportamiento de las expresiones regulares existentes para que se denieguen todas las jerarquías de configuración allow-configuration-regexps a menos que se incluyan en una instrucción para la clase de usuario nombrada.

Cita

Uso de expresiones regulares con lógica de adición

Purpose

En esta sección se proporcionan ejemplos de expresiones regulares que utilizan lógica aditiva para proporcionarle ideas para crear configuraciones apropiadas para su sistema.

Permitir instancias específicas de enrutamiento

La clase de inicio de sesión de ejemplo siguiente incluye una expresión regular que permite la configuración de instancias CUST-VRF-de enrutamiento cuyos nombres empiezan por; por ejemplo, CUST-VRF-1CUST-VRF-25CUST-VRF-100,, etc.:

Si en la configuración se incluye la siguiente instrucción, impedirá que el usuario configure otras instancias de enrutamiento y denegará el acceso a cualquier jerarquía de configuración de instancias que no sean de enrutamiento:

Permitir solo la configuración de BGP del mismo nivel

La clase de inicio de sesión de ejemplo siguiente incluye una expresión regular que permite la configuración de BGP elementos del mismo nivel:

Si se incluye la siguiente instrucción en la configuración, impedirá que los usuarios realicen cualquier otro cambio, como eliminar o deshabilitar BGP instrucciones:

Comproba

Para comprobar que ha establecido los privilegios de acceso correctamente:

Configure una clase login y confirme los cambios.
Asigne la clase de inicio de sesión a un nombre de usuario.
Inicie sesión como el nombre de usuario asignado con la nueva clase de inicio de sesión.
Intente realizar las configuraciones que se han permitido.
- Debe poder realizar cambios en la configuración de los niveles de jerarquía y expresiones regulares que se permitan.
- Todas las demás jerarquías no deben ser visibles.
- Cualquier expresión permitida o denegada debe tener prioridad sobre cualquier permiso permissions concedido con la instrucción.

Ejemplo Configuración de permisos de usuario con privilegios de acceso para comandos de modo de funcionamiento

En este ejemplo se muestra cómo configurar clases de inicio de sesión personalizadas y asignar privilegios de acceso para comandos de modo de funcionamiento. Esto permite a los usuarios de la clase de inicio de sesión personalizada ejecutar únicamente los comandos operativos para los que se han especificado privilegios de acceso. Esto impide que los usuarios no autorizados ejecuten comandos confidenciales que podrían ocasionar daños en la red.

Aplicables
Descripción general y topología
Automática
Comproba

Aplicables

En este ejemplo se utilizan los siguientes componentes de hardware y software:

Un dispositivo Juniper Networks
Un servidor TACACS + (o RADIUS)
Compilación Junos OS que se ejecuta en el dispositivo Juniper Networks

Antes de empezar:

Establezca una conexión TCP entre el dispositivo y el servidor TACACS +. En el caso del servidor RADIUS, establezca una conexión UDP entre el dispositivo y el servidor RADIUS.

Para obtener información sobre la configuración de un servidor TACACS +, consulte Configuring TACACS + Authentication.
Configure al menos un usuario asignado a una clase de inicio de sesión en el dispositivo de Juniper Networks. Puede haber más de una clase de inicio de sesión, cada una con configuraciones de permisos variables y más de un usuario en el dispositivo.

Descripción general y topología

Los privilegios de acceso de cada clase de inicio de sesión se definen mediante uno o varios indicadores permissions de permiso especificados en la instrucción. Además, puede especificar expresiones regulares extensas con las siguientes instrucciones:

allow-commands y: deny-commands permitir o denegar el acceso solo a los comandos del modo operativo.
allow-configuration y: deny-configuration permitir o denegar el acceso solo a una jerarquía de configuración determinada.
allow-configuration-regexps y: deny-configuration-regexps permitir o denegar el acceso a una jerarquía de configuración determinada mediante cadenas de expresiones regulares.
allow-commands-regexps y —(solo autorización TACACS+) Permitir o denegar el acceso a un comando determinado mediante deny-commands-regexps cadenas de expresiones regulares.

Las instrucciones anteriores definen los privilegios de acceso de un usuario a comandos de modo operativo individual, instrucciones de configuración y jerarquías. Estas instrucciones tienen prioridad sobre los permisos de clase de inicio de sesión establecidos para un usuario.

Configuration Notes

Cuando configure allow-commandslas deny-commandsinstrucciones allow-configuration,, deny-configuration y con privilegios de acceso, tenga en cuenta lo siguiente:

Puede incluir la instrucción allow/deny sólo una vez en cada clase login.
Si se configura exactamente el mismo comando en las allow-commands instrucciones deny-commands y, o ambas allow-configurationdeny-configuration , entonces la operación de permiso tiene prioridad sobre la instrucción deny.

Por ejemplo, con la siguiente configuración, un usuario asignado a la prueba de clase de inicio de sesión puede instalar request system software add software mediante el comando deny-commands , aunque la instrucción también lo incluye:
Por ejemplo, con la siguiente configuración, un usuario asignado a la prueba de clase de inicio de sesión [edit system services] puede acceder a la jerarquía deny-configuration de configuración, aunque la instrucción también la incluye:
Si se especifica una expresión regular para allow-commands instrucciones deny-commands and y con dos variantes diferentes de un comando, siempre se ejecutará la coincidencia más larga.

Por ejemplo, para la siguiente configuración, se permite que un usuario asignado a la clase de inicio de commit synchronize sesión de prueba ejecute commit el comando, no el comando. Esto se debe commit-synchronize a que es la coincidencia más commit larga commit-synchronizeentre y, y se especifica allow-commandspara.
Las expresiones regulares allow-commands para deny-commands instrucciones y también pueden incluir commitlos loadcomandos rollback, save, status, y update .
Permitir explícitamente las jerarquías de modo de configuración o allow-configuration expresiones regulares que utilicen la instrucción se agrega al permissions conjunto de permisos normales mediante la instrucción. Del mismo modo, la denegación explícita de jerarquías de modo de deny-configuration configuración o expresiones regulares mediante la instrucción quita los permisos de la jerarquía de modo de configuración permissions especificada, de los permisos predeterminados que proporciona la instrucción.

Por ejemplo, para la configuración siguiente, el usuario de la clase de inicio de sesión puede [edit system services] editar la configuración en el nivel de jerarquía y emitir commitcomandos de modo de configuración (como), además de especificar configure el modo de configuración utilizando el comando, que es el permiso especificado por el indicador de permiso de configure:
Del mismo modo, para la siguiente configuración, el usuario de la clase de inicio de sesión puede realizar todas las operaciones permitidas por el indicador de todos los permisos, excepto la emisión de comandos de modo de configuración (como) o la modificación de la configuración en el nivel de commit[edit system services] jerarquía:
allow/deny-configuration Las instrucciones son mutuamente excluyentes con allow/deny-configuration-regexps las instrucciones, y allow-deny-commands las instrucciones son mutuamente excluyentes allow/deny-commands-regexps con las instrucciones. Por ejemplo, no puede configurar ambos allow-configuration y allow-configuration-regexps en la misma clase de inicio de sesión.
Si existen configuraciones allow/deny-configuration que utilizan las sentencias allow/deny-commands or, es posible que las mismas opciones de allow/deny-configuration-regexps configuración allow/deny-commands-regexps con las instrucciones o no generen los mismos resultados, ya que los métodos Search y Match difieren en las dos formas de estas instrucciones.
Para definir privilegios de acceso a partes de la jerarquía de configuración, especifique las rutas completas en las expresiones regulares extendidas con las allow-configuration sentencias and deny-configuration . Utilice un paréntesis en torno a una expresión regular extendida que conecte dos o más expresiones con el símbolo de canalización (|).

Por ejemplo:
Si la expresión regular contiene espacios, operadores o caracteres comodín, encierre la expresión entre comillas. Las expresiones regulares no distinguen entre mayúsculas y minúsculas; por ejemplo, allow-commands "show interfaces".
Los modificadores como set,logy count no se admiten dentro de la cadena de expresión regular para que se coincidan. Si se utiliza un modificador, no se busca nada coincidente.

Configuración incorrecta:
Configuración correcta:

Los delimitadores son necesarios para especificar expresiones regulares complejas con allow-commands la instrucción.

Por ejemplo:

Cuando se especifican expresiones regulares extendidas allow/deny-commands mediante allow/deny-configuration las instrucciones y, cada expresión separada por un símbolo de barra vertical (|) debe ser una expresión independiente completa y debe estar encerrada entre paréntesis (). No utilice espacios entre las expresiones regulares separadas con paréntesis y estén conectados con el símbolo de barra vertical (|).

Por ejemplo:
Cuando se especifican expresiones regulares extendidas allow/deny-configuration-regexps mediante allow/deny-commands-regexps la instrucción or, cada expresión encerrada entre comillas (") y separada por un espacio debe ir encerrada entre corchetes angulares [].

Por ejemplo:
Puede utilizar el carácter comodín * cuando se denotan expresiones regulares. Sin embargo, debe utilizarse como parte de una expresión regular. No puede usar [ * ] o [ .* ] solo.
No puede configurar la allow-configuration instrucción con las (interfaces (descripción (|. *)) de expresión regular, a medida que se evalúa como allow-configuration = .* expresión regular.
Puede configurar tantas expresiones regulares como sea necesario se permita o deniegue. Las expresiones regulares que deben denegarse tienen prioridad sobre las configuraciones que se permitan.

Topología

Figura 1: Configuración de la autenticación de servidor TACACS +

Figura 1ilustra una topología sencilla, en la que el enrutador R1 es un dispositivo de Juniper Networks y tiene una conexión TCP establecida con un servidor TACACS +.

En este ejemplo, R1 se configura con tres clases de inicio de sesión personalizadas (Class1, Class2 y Class3) para especificar privilegios de acceso con expresiones regulares extendidas mediante instrucciones y de manera allow-commandsdeny-commands diferente.

El propósito de cada clase login es el siguiente:

Class1: define los privilegios de acceso para el usuario solo con allow-commands la instrucción. Esta clase login proporciona permisos de usuario a nivel de operador y solo debe proporcionar autorización para reiniciar el dispositivo.
Class2: define los privilegios de acceso para el usuario solo con deny-commands la instrucción. Esta clase de inicio de sesión proporciona permisos de usuario de nivel de operador y set debe denegar el acceso a los comandos.
Class3: define los privilegios de acceso para el usuario con las allow-commands instrucciones deny-commands y. Esta clase de inicio de sesión proporciona permisos de usuario de nivel de superusuario y debe proporcionar autorización para acceder a las interfaces e ver la información del dispositivo. También debe denegar el acceso edit a configure los comandos y.

El enrutador R1 tiene tres usuarios distintos, usuario1, usuario2 y Usuario3, asignados a las clases de inicio de sesión Class1, clase2 y Class3, respectivamente.

Automática

Configuración rápida de CLI
Configuración de los parámetros de autenticación para el enrutador R1
Configuración de privilegios de acceso con sólo la instrucción allow-Commands (Class1)
Configuración de privilegios de acceso con sólo instrucciones deny-Commands (Clase2)
Configuración de privilegios de acceso con instrucciones allow-Commands y deny-Commands (Class3)
Resultados

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Configuración de los parámetros de autenticación para el enrutador R1

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener más información sobre Cómo desplazarse por la CLI, consulte uso del editor de CLI en el modo de configuración en la Guía del usuario de CLI.

Configuración de la autenticación R1:

Configure el orden en el que debe tener lugar la autenticación para R1. En este ejemplo, la autenticación para servidores TACACS + primero, seguida de RADIUS autenticación del servidor y, a continuación, la contraseña local.

Establezca conexión R1 con el servidor TACACS +.

Configure RADIUS parámetros de autenticación del servidor.

Configure los parámetros de configuración de cuentas R1.

Configuración de privilegios de acceso con sólo la instrucción allow-Commands (Class1)

Procedimiento paso a paso

Para especificar expresiones regulares utilizando únicamente allow-commands la instrucción:

Configure la clase de inicio de sesión personalizada de Class1 y asigne permisos de usuario de nivel de operador. Para obtener más información sobre las clases predefinidas de inicio de sesión del sistema, consulte Junos os Introducción a las clases de inicio de sesión.

Especifique el comando para activar el reinicio de R1 en el allow-commands extracto.

Configure la cuenta de usuario para la clase de inicio de sesión Class1.

Configuración de privilegios de acceso con sólo instrucciones deny-Commands (Clase2)

Procedimiento paso a paso

Para especificar expresiones regulares utilizando únicamente deny-commands la instrucción:

Configure la clase de inicio de sesión personalizado Class2 y asigne los permisos de usuario de nivel de operador. Para obtener más información sobre las clases predefinidas de inicio de sesión del sistema, consulte Junos os Introducción a las clases de inicio de sesión.
Deshabilite la ejecución de cualquier comando set deny-commands en la instrucción.

Configure la cuenta de usuario para la clase de inicio de sesión clase2.

Configuración de privilegios de acceso con instrucciones allow-Commands y deny-Commands (Class3)

Procedimiento paso a paso

Para especificar expresiones regulares con las allow-commands dos sentencias y: deny-commands

Configure la clase de inicio de sesión personalizada Class3 y asigne permisos de usuario de nivel de superusuario. Para obtener más información sobre las clases predefinidas de inicio de sesión del sistema, consulte Junos os Introducción a las clases de inicio de sesión.
Especifique los comandos para habilitar solo comandos de configuración en allow-commands la instrucción.
Deshabilita la ejecución de todos los comandos deny-commands de la instrucción.

Configure la cuenta de usuario para la clase de inicio de sesión Class1.

Resultados

Desde el modo de configuración, escriba el show system comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Comproba

Inicie sesión como el nombre de usuario asignado con la nueva clase de inicio de sesión y confirme que la configuración funciona correctamente.

Comprobar la configuración de Class1
Comprobando la configuración de clase2
Comprobando la configuración de Class3

Comprobar la configuración de Class1

Purpose
Intervención
Efectos

Purpose

Compruebe que los permisos y comandos permitidos en la clase de inicio de sesión Class1 funcionan.

Intervención

Desde el modo operativo, ejecute show system users el comando.

Desde el modo operativo, ejecute request system reboot el comando.

Efectos

La clase de inicio de sesión Class1 a la que está asignado usuario1 tiene los permisos de usuario del nivel de operador, request system reboot y se le permite ejecutar el comando.

La clase de inicio de sesión del operador predefinida tiene los siguientes indicadores de permiso especificados:

clear: puede borrar (eliminar) la información aprendida de la red que se almacena en varias bases de datos de red mediante clear los comandos.
network: puede acceder a la red con ping los comandos ssh , telnettraceroute y.
reset: puede reiniciar los procesos de software con el comando y puede configurar si los procesos de software están habilitados restart o deshabilitados en el [edit system processes] nivel jerárquido.
trace: puede ver la configuración del archivo de seguimiento y configurar las propiedades del archivo de seguimiento.
view: puede usar varios comandos para mostrar estadísticas y valores y estadísticas actuales para todo el sistema, tablas de enrutamiento y protocolos específicos. No se puede ver la configuración secreta.

Para la clase de inicio de sesión Class1, además de los permisos de usuario mencionados anteriormente, el usuario1 request system reboot puede ejecutar el comando. El primer resultado muestra los permisos de vista como un operador y el segundo muestra que el requestrequest system reboot comando es el único que el usuario1 puede ejecutar como operador.

Comprobando la configuración de clase2

Purpose
Intervención
Efectos

Purpose

Compruebe que los permisos y comandos permitidos para la clase de inicio de sesión clase2 funcionan.

Intervención

Desde el modo operativo, ejecute el ping comando.

En el símbolo de sistema de CLI, compruebe los permisos disponibles.

Desde el indicador de CLI, ejecute cualquier comando set.

Efectos

La clase de inicio de sesión clase2 a la que se asigna usuario2 tiene permisos de usuario de nivel de operador, y set se le deniega el acceso a todos los comandos. Esto se muestra en los resultados del comando.

Los indicadores de permisos especificados para la clase de inicio de sesión de operador predefinidos son los mismos que los de Class1.

Comprobando la configuración de Class3

Purpose
Intervención
Efectos

Purpose

Compruebe que los permisos y comandos permitidos para la clase de inicio de sesión Class3 funcionan correctamente.

Intervención

En el símbolo de sistema de CLI, compruebe los permisos disponibles.

Desde el modo de funcionamiento, introduzca el modo de configuración.

Efectos

La clase de inicio de sesión Class3 a la que se ha asignado Usuario3 tiene los permisos de usuario superusuario (All) configure , pero solo puede ejecutar el comando y se le deniega el acceso a todos los demás comandos del modo operativo. Dado que las expresiones regulares que se allow/deny-commands especifican en las instrucciones tienen prioridad sobre los permisos de usuario, Usuario3 en R1 solo tiene acceso al modo de configuración y se le deniega el acceso a todos los demás comandos de modo operativo.

Ejemplo Configuración de permisos de usuario con privilegios de acceso para instrucciones de configuración y jerarquías

En este ejemplo se muestra cómo configurar clases de inicio de sesión personalizadas y asignar privilegios de acceso a partes de la jerarquía de configuración. Esto permite a los usuarios de la clase login personalizada ejecutar únicamente las instrucciones de configuración y jerarquías para las que se han especificado privilegios de acceso. Esto impide que los usuarios no autorizados tengan acceso a las configuraciones de dispositivos que podrían ocasionar daños en la red.

Aplicables
Descripción general y topología
Automática
Comproba

Aplicables

En este ejemplo se utilizan los siguientes componentes de hardware y software:

Un dispositivo Juniper Networks
Un servidor TACACS + (o RADIUS)
Compilación Junos OS que se ejecuta en el dispositivo Juniper Networks

Antes de empezar:

Establezca una conexión TCP entre el dispositivo y el servidor TACACS +. En el caso del servidor RADIUS, establezca una conexión UDP entre el dispositivo y el servidor RADIUS.

Para obtener información sobre la configuración de un servidor TACACS +, consulte Configuring TACACS + Authentication.
Configure al menos un usuario asignado a una clase de inicio de sesión en el dispositivo de Juniper Networks. Puede haber más de una clase de inicio de sesión, cada una con configuraciones de permisos variables y más de un usuario en el dispositivo.

Descripción general y topología

allow-commands y: deny-commands permitir o denegar el acceso a los comandos del modo operativo.
allow-configuration y: deny-configuration permitir o denegar el acceso a partes de la jerarquía de configuración.

Estas instrucciones realizan una correspondencia más lenta, con más flexibilidad, especialmente en la coincidencia de caracteres comodín. Sin embargo, puede tardar mucho tiempo en evaluar todas las instrucciones posibles si se ha configurado una gran cantidad de expresiones regulares de ruta completa o de expresiones comodín, lo que podría afectar al rendimiento.
allow-configuration-regexps y: deny-configuration-regexps permitir o denegar el acceso a una jerarquía de configuración determinada mediante cadenas de expresiones regulares. Estas instrucciones son similares a allow-configuration las deny-configuration sentencias and, con la allow/deny-configuration-regexps excepción de que en las instrucciones puede configurar conjuntos de cadenas en las que las cadenas incluyen espacios al utilizar el primer conjunto de instrucciones.

Las instrucciones anteriores definen los privilegios de acceso de un usuario a comandos de modo operativo individual, instrucciones de configuración y jerarquías. Estas instrucciones tienen prioridad sobre un bit de permisos de clase de inicio de sesión definido para un usuario.

Difference between allow/deny-configuration and allow/deny-configuration-regexps statements

Los allow-configuration Estados deny-configuration y se introdujeron antes de Junos os versión 7,4. Los allow-configuration-regexps Estados deny-configuration-regexps y se introdujeron en Junos os versión 11,2. En Junos OS versión 11,4, las allow-configuration instrucciones deny-configuration y han quedado obsoletas, pero dado que estas instrucciones eran útiles para ejecutar configuraciones sencillas, estas instrucciones no se habían desusado en Junos os versión 11.4 R6, y a partir de la versión 11.4 R6 allow/deny-configuration se admiten tanto la como las allow/deny-configuration-regexps instrucciones.

Las instrucciones dividen la expresión regular en símbolos y coinciden con cada pieza en cada parte de la ruta completa de la configuración especificada, mientras que las instrucciones coinciden con la allow/deny-configuration-regexpsallow/deny-configuration cadena completa. En allow/deny-configuration-regexps el caso de las instrucciones, configure un conjunto de cadenas en el que cada cadena sea una expresión regular, con espacios entre los términos de la cadena. Esto proporciona una coincidencia muy rápida, pero con menos flexibilidad. Para especificar expresiones comodín, debe establecer comodines para cada símbolo de la cadena delimitada por espacios que desee hacer coincidir, lo que hace que sea más tedioso utilizar expresiones comodín para estas instrucciones.

Por ejemplo:

Expresión regular que coincide con un token mediante allow-Configuration-RegExpS

Este ejemplo muestra que options es la única expresión coincidente con el primer símbolo (token) de la instrucción.
La configuración anterior coincide con las siguientes instrucciones:
- set policy- options condition condition dynamic-db
- set routing- options static route static-route next-hopnext-hop
- set event- options generate-event event intervalo de tiempo segundos
La configuración anterior no coincide con las siguientes instrucciones:
- System host-nombre host-options
- descripción del nombre de interfaz de las interfaces options
Expresión regular que coincide con tres tokens mediante allow-Configuration-RegExpS

Este ejemplo muestra que ssh es la única expresión coincidente con el tercer símbolo (token) de la instrucción.
En el ejemplo anterior, los tres tokens incluyen .*, .*, y .*ssh, respectivamente.

La configuración anterior coincide con las siguientes instrucciones:
- System host-nombre hostname-ssh
- servicios del sistema ssh
- servicios de sistema salientes-ssh
La configuración anterior no coincide con la siguiente instrucción:
- descripción del nombre de interfaz de las interfaces ssh

Puede restringir fácilmente el acceso a la deny-configuration configuración mediante la instrucción en comparación deny-configuration-regexps con el uso de la instrucción. Tabla 6 muestra el uso de las deny-configuration dos instrucciones y deny-configuration-regexps de distintas configuraciones para lograr el mismo resultado de restringir el acceso a una configuración determinada.

Tabla 6: Restringir el acceso a la configuración mediante instrucciones deny-Configurtion y deny-Configuration-RegExpS
Configuración denegada	Utilice deny-Configuration	Utilice deny-Configuration-RegExpS	Conjunto
`xnm-ssl`	[edit system] login { class test { permissions configure; allow-configuration .; deny-configuration .xnm-ssl; } }	[edit system] login { class test { permissions configure; allow-configuration .; deny-configuration-regexps ". .* .*-ssl""; } }	Se ha denegado la siguiente instrucción de configuración: servicios del sistema xnm-SSL
`ssh`	[edit system] login { class test { permissions configure; allow-configuration .; deny-configuration ".ssh"; } }	[edit system] login { class test { permissions configure; allow-configuration .; deny-configuration-regexps ".ssh"; deny-configuration-regexps ".* .ssh"; deny-configuration-regexps ". .* .*ssh"; } }	Se rechazan las siguientes instrucciones de configuración: System host-nombre hostname-SSH SSH de servicios del sistema servicios del sistema Outbound-SSH host conocido por SSH de seguridad

Configuración denegada

Utilice deny-Configuration

Utilice deny-Configuration-RegExpS

Conjunto

xnm-ssl

[edit system]
login {
    class test {
        permissions configure;
         allow-configuration .*;
        deny-configuration .*xnm-ssl;
    }
}

[edit system]
login {
    class test {
        permissions configure;
         allow-configuration .*;
        deny-configuration-regexps ".* .* .*-ssl"";
    }
}

Se ha denegado la siguiente instrucción de configuración:

servicios del sistema xnm-SSL

ssh

[edit system]
login {
    class test {
        permissions configure;
         allow-configuration .*;
        deny-configuration ".*ssh";
    }
}

[edit system]
login {
    class test {
        permissions configure;
         allow-configuration .*;
        deny-configuration-regexps ".*ssh";
        deny-configuration-regexps ".* .*ssh";
        deny-configuration-regexps ".* .* .*ssh";
    }
}

Se rechazan las siguientes instrucciones de configuración:

System host-nombre hostname-SSH
SSH de servicios del sistema
servicios del sistema Outbound-SSH
host conocido por SSH de seguridad

Aunque las allow/deny-configuration instrucciones también son útiles cuando se desea una configuración sencilla, allow/deny-configuration-regexps las instrucciones proporcionan un rendimiento mejor y superan la ambigüedad que existía al combinar expresiones establecidas allow/deny-configuration en las instrucciones.

Nota:

Las allow/deny-configuration instrucciones allow/deny-configuration-regexps y son mutuamente excluyentes y no se pueden configurar para una clase de inicio de sesión. En un momento determinado, una clase de inicio de sesión puede incluir el allow/deny-configuration extracto o el allow/deny-configuration-regexps extracto. Si existen configuraciones que utilizan las allow/deny-configuration instrucciones, es posible que las mismas opciones de configuración allow/deny-configuration-regexps con las instrucciones no generen los mismos resultados, ya que los métodos hallar y coincidir difieren en las dos formas de estas instrucciones.

Configuration Notes

Cuando configure allow-configurationlas deny-configurationinstrucciones allow-configuration-regexps,, deny-configuration-regexps y con privilegios de acceso, tenga en cuenta lo siguiente:

Puede incluir una deny-configuration instrucción y otra allow-configuration en cada clase de inicio de sesión.
Las allow/deny-configuration instrucciones allow/deny-configuration-regexps y son mutuamente excluyentes y no se pueden configurar para una clase de inicio de sesión. En un momento determinado, una clase de inicio de sesión puede incluir el allow/deny-configuration extracto o el allow/deny-configuration-regexps extracto. Si existen configuraciones que utilizan las allow/deny-configuration instrucciones, es posible que las mismas opciones de configuración allow/deny-configuration-regexps con las instrucciones no generen los mismos resultados, ya que los métodos hallar y coincidir difieren en las dos formas de estas instrucciones.
Permitir explícitamente las jerarquías de modo de configuración o allow-configuration expresiones regulares que utilicen la instrucción se agrega al permissions conjunto de permisos normales mediante la instrucción. Del mismo modo, la denegación explícita de jerarquías de modo de deny-configuration configuración o expresiones regulares mediante la instrucción quita los permisos de la jerarquía de modo de configuración permissions especificada, de los permisos predeterminados que proporciona la instrucción.

Por ejemplo, para la configuración siguiente, el usuario de la clase de inicio de sesión puede [edit system services] editar la configuración en el nivel de jerarquía y emitir commitcomandos de modo de configuración (como), además de especificar configure el modo de configuración utilizando el comando, que es el permiso especificado por el indicador de permiso de configure:
Del mismo modo, para la siguiente configuración, el usuario de la clase de inicio de sesión puede realizar todas las operaciones permitidas por el indicador de todos los permisos, excepto la emisión de comandos de modo de configuración (como) o la modificación de la configuración en el nivel de commit[edit system services] jerarquía:
Para definir privilegios de acceso a partes de la jerarquía de configuración, especifique las rutas completas en las expresiones regulares extendidas con las allow-configuration sentencias and deny-configuration . Utilice un paréntesis en torno a una expresión regular extendida que conecte dos o más expresiones con el símbolo de canalización (|).

Por ejemplo:
Cuando se especifican expresiones regulares extendidas allow/deny-commands mediante allow/deny-configuration las instrucciones y, cada expresión separada por un símbolo de barra vertical (|) debe ser una expresión independiente completa y debe estar encerrada entre paréntesis (). No utilice espacios entre las expresiones regulares separadas con paréntesis y estén conectados con el símbolo de barra vertical (|).

Por ejemplo:
Cuando se especifican expresiones regulares extendidas allow-deny-configuration-regexps mediante la instrucción, cada expresión encerrada entre comillas (") y separada por un espacio debe ir encerrada entre corchetes angulares [].

Por ejemplo:
Si se configura exactamente el mismo comando en ambas allow-configurationdeny-configuration instrucciones, la operación allow prevalecerá sobre la instrucción deny.

Por ejemplo, con la siguiente configuración, un usuario asignado a la prueba de clase de inicio de sesión [edit system services] puede acceder a la jerarquía deny-configuration de configuración, aunque la instrucción también la incluye:
Por ejemplo, si se permite un comando o configuración determinados, por ejemplo, mediante eluso de todos los permisos, podemos usar el comando para denegar el acceso a una deny-configuration jerarquía determinada.
Los modificadores como set,logy count no se admiten dentro de la cadena de expresión regular para que se coincidan. Si se utiliza un modificador, no se busca nada coincidente.

Configuración incorrecta:
Configuración correcta:
Puede utilizar el carácter comodín * cuando se denotan expresiones regulares. Sin embargo, debe utilizarse como parte de una expresión regular. No puede usar [ * ] o [ .* ] solo.
No puede configurar la allow-configuration instrucción con las (interfaces (descripción (|. *)) de expresión regular, a medida que se evalúa como allow-configuration = .* expresión regular.
Puede configurar tantas expresiones regulares como sea necesario se permita o deniegue. Las expresiones regulares que deben denegarse tienen prioridad sobre las configuraciones que se permitan.

Topología

Figura 2: Configuración de la autenticación de servidor TACACS +

Figura 2ilustra una topología sencilla, en la que el enrutador R1 es un dispositivo de Juniper Networks y tiene una conexión TCP establecida con un servidor TACACS +.

En este ejemplo, R1 se configura con dos clases de inicio de sesión personalizadas (Class1 y Class2) para especificar privilegios de acceso con expresiones regulares extendidas mediante las instrucciones , y de allow-configurationdeny-configuration manera allow-configuration-regexpsdeny-configuration-regexps diferente.

El propósito de las clases de inicio de sesión es el siguiente:

Class1: permite definir los privilegios de acceso para el usuario con las allow-configurationdeny-configuration instrucciones y. Esta clase de inicio de sesión debe proporcionar acceso para configurar únicamente la jerarquía de interfaces y denegar cualquier otro acceso en el dispositivo. Para ello, los permisos de usuario deben incluir la configuración para proporcionar acceso de configuración. Además, la allow-configuration instrucción debe permitir la configuración de interfaces, y la instrucción deny-configuration debe denegar el acceso a todas las demás configuraciones. Dado que la instrucción allow tiene prioridad sobre la instrucción deny, los usuarios asignados a la clase de inicio de sesión [edit interfaces] Class1 sólo pueden tener acceso al nivel de la jerarquía.
Class2: permite definir los privilegios de acceso para el usuario con las allow-configuration-regexpsdeny-configuration-regexps instrucciones y. Esta clase login proporciona permisos de usuario de nivel de superusuario y, además, permite la configuración explícitamente bajo varios niveles jerárquicos para interfaces. También deniega el acceso de configuración a [edit system] los [edit protocols] niveles de jerarquía y.

El enrutador R1 tiene dos usuarios, user1 y usuario2, asignados a las clases de inicio de sesión Class1 y clase2, respectivamente.

Automática

Configuración rápida de CLI
Configuración de los parámetros de autenticación para el enrutador R1
Configuración de privilegios de acceso con instrucciones allow-Configuration y deny-Configuration (Class1)
Configuración de privilegios de acceso con instrucciones allow-Configuration-RegExpS y deny-Configuration-RegExpS (Clase2)
Resultados

Configuración rápida de CLI

Configuración de los parámetros de autenticación para el enrutador R1

Procedimiento paso a paso

Configuración de la autenticación R1:

Configure el orden en el que debe tener lugar la autenticación para R1. En este ejemplo, la autenticación de servidor TACACS + primero, seguida de RADIUS autenticación de servidor y, a continuación, la contraseña local.

Establezca conexión R1 con el servidor TACACS +.

Configure RADIUS parámetros de autenticación del servidor.

Configure los parámetros de configuración de cuentas R1.

Configuración de privilegios de acceso con instrucciones allow-Configuration y deny-Configuration (Class1)

Procedimiento paso a paso

Para especificar expresiones regulares con las allow-configuration sentencias and deny-configuration :

Configure la clase inicio de sesión personalizado de Class1 y asigne permisos de usuario de configuración.
Especifique la expresión regular en la allow-configuration instrucción para permitir la configuración en [edit interfaces] el nivel de jerarquía. Para permitir set comandos en el [edit interfaces] nivel de la jerarquía, la expresión regular interfaces .* unit .*utilizada es.
Especifique la expresión regular en la deny-configuration instrucción para deshabilitar todo el acceso a la configuración. La expresión regular utilizada para denegar todos los accesos de configuración es .*.

Configure la cuenta de usuario para la clase de inicio de sesión Class1.

Configuración de privilegios de acceso con instrucciones allow-Configuration-RegExpS y deny-Configuration-RegExpS (Clase2)

Procedimiento paso a paso

Para especificar expresiones regulares con las allow-configuration-regexps sentencias and deny-configuration-regexps :

Configure la clase de inicio de sesión personalizada clase2 y asigne los permisos de superusuario (todos). Para obtener más información sobre las clases de inicio de sesión predefinidas, consulte Junos os Introducción a las clases de inicio de sesión.

Especifique la expresión regular para permitir el acceso a varias jerarquías bajo [edit interfaces] el nivel jerárquico.

Especifique la expresión regular para denegar la configuración [edit system] en [edit protocols] los niveles de jerarquía y.

Configure la cuenta de usuario para la clase de inicio de sesión clase2.

Resultados

Comproba

Inicie sesión como el nombre de usuario asignado con la nueva clase de inicio de sesión y confirme que la configuración funciona correctamente.

Comprobar la configuración de Class1
Comprobando la configuración de clase2

Comprobar la configuración de Class1

Purpose
Intervención
Efectos

Purpose

Compruebe que los permisos permitidos en la clase de inicio de sesión Class1 funcionan.

Intervención

En el símbolo de sistema de CLI, compruebe los permisos disponibles.

En el modo de configuración, compruebe los permisos de configuración disponibles.

Efectos

User1 ha configurar los permisos de usuario que se ven en el primer resultado y el único acceso de configuración permitido para User1 se encuentra en el nivel de jerarquía de interfaces. Se deniega el resto de la configuración, como se muestra en el segundo resultado.

Comprobando la configuración de clase2

Purpose
Intervención
Efectos

Purpose

Compruebe que la configuración de clase2 funciona correctamente.

Intervención

Desde el modo de configuración, acceda a la configuración de interfaces.

Desde el modo de configuración, acceda a las jerarquías de configuración del sistema y de los protocolos.

Efectos

Usuario2 cuenta con permisos para configurar interfaces de R1, pero [edit system] se [edit protocols] deniega el acceso a los niveles de jerarquía y, tal y como se muestra en el resultado.